Arztpraxen verarbeiten nach Datenschutz-Grundverordnung (DSGVO) besondere Kategorien von personenbezogenen Daten: Gesundheitsdaten. Der Behandlungsvertrag zwischen Patient und behandelnden Arzt dürfte in den meisten Fällen die Grundlage für die Datenverarbeitung dieser Daten sein, dieses bestätigt der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) und veröffentlicht eine FAQ-Liste, die zu einzelnen Fragestellung Antworten aufzeigt.
Die FAQ-Liste umfasst die Themen, ob eine zusätzliche Einwilligung von Seiten des Patienten erforderlich ist und wie weit Patientendaten unter Wahrung des Berufsgeheimnisses verarbeitet werden.
Einwilligungserklärung
Die Frage, ob zum Zweck der ärztlichen Behandlung von Patienten eine Einwilligungserklärung eingeholt werden muss, wird vom LfDI BW mit Nein beantwortet. Das LfDI BW stützt seine Aussage darauf, dass die ärztliche Behandlung aufgrund eines Behandlungsvertrages durchgeführt wird. Mit dieser vertraglichen Grundlage erhält der behandelnde Arzt die Befugnis gemäß Art. 9 Abs. 2 Buchstabe h) und Absatz 3 in Verbindung mit Art. 6 Absatz 1 Satz 1 Buchstabe b) DSGVO zur Datenverarbeitung. Auf diese Rechtsgrundlage können alle Datenverarbeitungen durchgeführt werden, welche zur Erfüllung des Behandlungsvertrags notwendig sind. Selbstverständlich sollte aber vor dem Hintergrund der Datensparsamkeit sein, dass nur solche Daten verarbeitet werden, die dem Zweck angemessen und erheblich sowie auf das notwendige Maß beschränkt sind.
Weitergabe von Daten Zwecks Einholung einer Fachexpertise
Das LfDI BW prüfte auch die Frage, ob Gesundheitsdaten mit Fachkollegen im Rahmen einer Behandlung ausgetauscht werden dürfen mit dem Ziel, dass die Fachexpertise eines Kollegen hinzuzuziehen. Auch hier stützt sich das LfDI BW auf den Behandlungsvertrag, auf dessen Grundlage ein Rat von einem Kollegen eingeholt werden kann. Kann die Übermittlung der Daten durch den bestehenden Behandlungsvertrag legitimiert werden, ist auch nach Artikel 9 Abs. 2 Buchstabe h) und Abs. 3 in Verbindung mit Art. 6 Absatz 1 Satz 1 Buchstabe b) DSGVO die Übermittlung der Daten erlaubt. Aber auch hier ist zu gewährleisten, dass die rechtlichen Befugnisse aus dem Behandlungsvertrag nicht überschritten werden. Selbstverständlich gelten die Anforderungen an den Schutz der Daten auch auf dem Transport, so sollte zum Schutz vor unbefugtem Zugriff Dritter der Austausch der Daten über einen sicheren verschlüsselten Kanal erfolgen.
Löschen von Daten
Arztpraxen müssen nach DSGVO Art. 17 Abs. 1 lit a) personenbezogenen Daten dann löschen, wenn diese für die Zwecke, für die diese Daten erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Diese Pflicht zum Löschen der Daten greift jedoch nicht, wenn die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt werden (Art. 17 Abs. 3 DSGVO). Zusätzlich unterliegen Gesundheitsdaten generell einer gesetzlichen Aufbewahrungspflicht von 10 Jahren nach Abschluss der Behandlung (§630f Abs. 3 BGB). Darüber hinaus werden in anderen Vorschriften weitere Aufbewahrungsfristen genannt, beispielsweise in der Strahlenschutzverordnung oder dem Transfusionsgesetz: Hier werden Aufbewahrungsfristen von 15, 20 oder 30 Jahre benannt.
Ihr Datenschutzmanagement sollte die unterschiedlichen Aufbewahrungsfristen im Blick behalten und die Daten entsprechend löschen, wenn kein Eigeninteresse mehr besteht und/ oder die Daten aufgrund Ablauf der Aufbewahrungsfristen gelöscht werden können.